Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

15.08.2017
von: Dr. Jens Bücking; Rechtsanwalt & Fachanwalt für IT-Recht

Das neue IT-Sicherheitsgesetz: Erweiterte Rechtspflichten und potenzielle Haftungsfallen des modernen IT-Sicherheitsmanagements

Dr. Jens Bücking, Rechtsanwalt und Fachanwalt für IT-Recht

Die Bedeutung von Disaster Recovery/Business Continuity im virtuellen Zeitalter

Management Summary
Die "rechtssichere" Aufbewahrung und Verfügbarhaltung von unternehmenskritischen Informationen und IT-Systemen gehört im Informationszeitalter zu den rechtlichen Selbstverständlichkeiten, entsprechende Backup- und Archivierungsprozesse sind zur Einhaltung der jeweils einschlägigen Compliance-Standards unabdingbar. Welche konkreten - auch persönlichen - Haftungsrisiken sich allerdings dahinter verbergen, ist selbst auf Managementebene oft nicht bekannt. Eine "Noncompliance" kann jedoch fatale Folgen haben. Dies betrifft insbesondere Schäden infolge von Versäumnissen beim IT-Risikomanagement. Aus der Rechtsprechung sind Fälle bekannt, die von der Anfechtbarkeit des Beschlusses über die Entlastung des Managements bis zur außerordentlichen Kündigung der Anstellungsverträge und Abberufung aus der Funktion des CEO reichen. Auch kann der Versicherungsschutz für derlei "Cyberrisiken" unzureichend sein oder gar insgesamt ausfallen. Dies gilt umso mehr vor dem Hintergrund neuer - und erweiterter - Sicherheitspflichten durch das IT-Sicherheitsgesetz von 2015, das unterschiedlichen Kategorien von Unternehmen mannigfaltige Verpflichtungen in Bezug auf die Sicherheit ihrer Systeme und Daten auferlegt. Den Betreibern kritischer Infrastrukturen (KRITIS) droht bei Versäumung oder Schlechterfüllung der Pflichtenkataloge des neuen Gesetzes neben empfindlichen Ordnungsmitteln, die über die bloßen Bußgelder hinaus bis zur Untersagung bzw. Sperrung ihrer Dienste reichen können, insbesondere auch die Schadenshaftung: Es kommen Schadensersatzansprüche sowohl von Vertragspartnern wie auch von geschädigten Dritten in Betracht (etwa gegenüber anderen KRITISBetreibern im Falle der Verletzung von Meldepflichten) und - im Bereich der geschäftlichen Internet-Angebote - aus dem allgemeinen Kreis der Nutzer dieser Angebote. Das neue Gesetz eröffnet jedoch zugleich die Chance und gibt entsprechende Hinweise, durch Beachtung seiner technischen und organisatorischen Anforderungen Betriebsausfälle und Haftungsrisiken weitgehend zu beschränken.

I. Problemaufriss
Das Thema IT-Sicherheit ist aus dem Wirtschafts- und Verwaltungsleben nicht mehr wegzudenken. Seit den Ereignissen der Jahre 2013 ff. mit den diversen Abhör- und Spionageaffären ist die besondere Bedeutung des Schutzes von Geschäfts- und Personendaten in das allgemeine Bewusstsein gerückt. Die Einhaltung von entsprechenden Schutzund Sicherheitsstandards ist als Teil der "Corporate Governance" zu recht Chefsache – auch unter Haftungsgesichtspunkten: Aus der Rechtsprechung sind Fälle bekannt, die von der Anfechtbarkeit des Beschlusses über die Entlastung des Managements bis zur außerordentlichen Kündigung der Anstellungsverträge und Abberufung aus der Funktion des CEO reichen. Auch die Mitglieder von Aufsichtsgremien und die Sonderbeauftragten (insbesondere für Compliance, IT-Sicherheit und Datenschutz) stehen potenziell in der Haftung. Andererseits kann der Versicherungsschutz für "Cyberrisiken" unzureichend sein oder gar insgesamt ausfallen.

Es liegt daher nicht nur unter betriebswirtschaftlichen Aspekten nahe, das Hosting von Daten, Systemen und Applikationen, insbesondere aber auch deren Sicherheit und unterbrechungsfreien Betrieb im Desaster-Fall an spezialisierte IT-Dienstleister und Anbieter von Security-Lösungen zu vergeben. Dieser Leitfaden bietet einen Überblick darüber, welche Haftungsrisiken, aber auch Chancen sich aus einem solchen "Fremdmanagement" betriebswichtiger IT-Systeme ergeben und erklärt, wie man Risiken steuern und durch ein geeignetes ITSicherheitsmanagement begrenzen kann. Der Fokus gilt dabei den Themen "Disaster Recovery" (DR) und "Business Continuity" (BC) im aktuellen Kontext mit dem neuen IT-Sicherheitsgesetz.

II. Risiken der IT-Sicherheit
Unternehmen sehen sich im globalen Wettbewerb gesteigerten Anforderungen in Bezug auf den Schutz und die Vorhaltung ihres geistigen Eigentums ausgesetzt angesichts steigender Risiken von Datenverlust und dem Diebstahl von Daten, für den sich inzwischen ein grauer Markt entwickelt hat. Im Unterschied zu früher, als das (auch geistige) Eigentum, Rohstoffe, Auftragslage etc. über des Schicksal eines Unternehmens entschieden, stellt die Verfügbarkeit und der Schutz von Informationen heute die betriebswichtigste Ressource im unternehmerischen Organismus dar.

Es liegt unter fachlichen und wirtschaftlichen Gesichtspunkten nahe, diese Aufgabe an spezialisierte Anbieter und deren IT-Produkte zu delegieren. Hierbei können insbesondere externe Rechenzentren neue Wertschöpfungsketten und erhebliche Einsparungspotenziale erschließen. Jedoch sind die Erstellung transparenter und detaillierter Anforderungskataloge an deren IT sowie die Prüfung, ob die angebotenen Lösungen technisch und rechtlich sicher umgesetzt werden können, für jeden Auftraggeber unabdingbar.

1. Technische und wirtschaftliche Risiken
Vor diesem Hintergrund arbeiten heutzutage die Abteilungen IT und Recht zusammen an der Schaffung und Implementierung neuer Policies und technisch-organisatorisch abgesicherter Geschäftsprozesse. Hier geht es vornehmlich um die Vermeidung von Betriebsausfallzeiten, Auftragsverluste, Reputationsschäden und weitere finanzielle Einbußen, wenn vertrauliche Daten verloren gehen, gestohlen werden oder kompromittiert werden.

Denn wie Statistiken belegen, müssen 70% der Unternehmen, bei denen es zu katastrophalen Datenverlusten kommt, innerhalb von 18 Monaten aufgeben. Berichten zuverlässiger Quellen wie Europol, dem Bundeswirtschaftsministerium und dem IT-Branchenverband Bitkom zufolge werden täglich in Deutschland Daten von 20 Mio. Telefonaten und 10 Mio. Internetverbindungen allein durch die NSA gespeichert. Dabei geht es auch um Wirtschaftsinteressen. Deutschland ist dabei das wichtigste Wirtschaftsspionageziel in der EU. Laut Bitkom ist die Hälfte aller Unternehmen betroffen. Die Schäden belaufen sich auf jährlich 51 Mrd. Euro, weltweit werden diese laut Europol auf 290 Mrd. Euro geschätzt. Angegriffen wird meist nicht, um an bestimmte Informationen zu gelangen - die Mehrzahl der Fälle zielt auf reine Sabotage (DoS-Attacken, Viren etc.).

Konjunktur haben bei der neuen Cyberkriminalität insbesondere Methoden, die Schadcode über das Internet durch Webseiten und Dienste unbeteiligter Dritter verbreiten. Bei diesen Attacken wird der Computer des Nutzers infiziert, während er Webseiten oder Dienste eines unbescholtenen Drittanbieters nutzt. Gefahren lauern sowohl auf großen Webseiten mit hoher Nutzerzahl, wie bspw. auf Internetportalen oder Nachrichtenseiten, aber auch auf weniger aufwendigen und weniger frequentierten Webseiten wie Blogs. Schadcode wird dabei auch auf Werbeflächen oder nutzergenerierten Inhalten platziert. Diese Verbreitungsformen gehören zu den größten Bedrohungen der Netzsicherheit. Nach dem Lagebericht des BSI resultiert aus solchen Attacken eine erhebliche Gefahr für Nutzer und Systeme, zumal 75 % der im Internet erreichbaren Webseiten grundsätzlich als verwundbar eingestuft wurden, und hierbei 20 % aller Webseiten als kritisch verwundbar. Beim ungewollten Hosten von Malware auf Webseiten wird Deutschland derzeit an zweiter Stelle gesehen. Dies wirkt sich naturgemäß auch wirtschaftlich entsprechend aus: Schätzungen zufolge belaufen sich die Schäden, die allgemein durch Cybercrime eintreten, auf 400 Milliarden Dollar. Im Verhältnis zum Bruttoinlandsprodukt sind diese Schäden nirgends so hoch wie in Deutschland.

2. Rechtliche Risiken
Aus der Erkenntnis heraus, dass der Schutz und die Verfügbarkeit von Daten mithin ein "do-or-die"-Kriterium in Wirtschaft und Verwaltung ist, besteht von Gesetzes wegen die Verpflichtung zu einem effektiven Risiko- und Informationsmanagement. Deren Einhaltung gehört zu den unternehmerischen Lenkungs- und Leitungsaufgaben. Spiegelbildlich bestehen entsprechende Kontroll- und Hinweispflichten der Sonderbeauftragten für Compliance, ITSicherheit und Datenschutz.


a) Keine Delegierung durch Fremdvergabe des IT-Managements (insbes. "Outsourcing")

Ein Outsourcing der Verantwortungsbereiche an IT-Dienstleister und in externe Rechenzentren über moderne Modelle wie ASP, SaaS und Cloud kann auf der einen Seite Investitions- und Betriebskosten erheblich senken und zugleich auf Ebene der Geschäftsprozesse deutliche Verbesserungen in puncto Datensicherheit, Performance, Verfügbarkeit und Skalierbarkeit von IT-Services bewirken.

Outsourcing führt jedoch im Grundsatz nicht zu einer Entlassung aus der Haftung. Über ein zeitgemäßes Risikomanagement IT-Sicherheit zu gewährleisten, gehört zu den allgemeinen Sorgfalts- und Vorsorgepflichten des Managements. Über diese allgemeine Anforderung hinaus verlangt das Gesetz zur Kontrolle und Transparenz im Geschäftsverkehr (KonTraG) im Bereich der Privatwirtschaft ein effizientes Risikomanagementsystem, das nach einhelliger Ansicht eine Überwachung und Früherkennung sowie entsprechende Reaktionsszenarien im Schadensfall umfasst. Zu beachten ist in diesem Kontext auch die Beweislastumkehr, wonach in Fällen, in denen streitig ist, ob die zuständigen Mitglieder des Managements die Sorgfalt eines ordentlichen Geschäftsleiters angewandt haben, diese zu ihrer Entlastung die alleinige Beweislast trifft. Auf der Ebene der Haftungsentlastung kommt daher der Auswahl des geeigneten IT-Anbieters erhebliche Bedeutung zu.

Das Recht sieht es als Selbstverständlichkeit an, dass unternehmenskritische - und insbesondere auch beweiserhebliche - Dokumente bei den Unternehmen vorgehalten werden. Von ihnen wird erwartet, dass sie die Verfügbarkeit elektronischer Dokumente in geordneter Weise gewährleisten können - oder aber entsprechende Sanktionen zu erwarten haben. Oft genug entscheiden derlei Dokumente einen Rechtsstreit, indem sie eine Anspruchsposition belegen oder eine Gegenposition beweisrechtlich widerlegen.


b) Handels- und Steuerrecht; Personendatenschutz

Die Pflicht zur Gewährleistung von Datenschutz und Datensicherheit betrifft regelmäßig unternehmenssteuernde (ERP- , CRM etc.) Daten (wie z.B. SAP), personenbezogene und steuerrelevante Daten, Berufs- und Geschäftsgeheimnisse (wie etwa Forschungs- und Entwicklungsdaten), Kundendaten, Mitarbeiterdaten etc. Verletzungen des Personendatenschutzes können hohe direkte Strafsanktionen von in Deutschland bis zu 300 TEUR für jeden Einzelfall zur Folge haben. In schweren Fällen, etwa planmäßigen Datenschutzverletzungen aus kommerziellem Interesse, besteht die Möglichkeit des Abschöpfens eines etwaigen finanziellen Vorteils des Datenschutzverstoßes durch die Strafe (zusätzlich zum Geldstrafen- bzw. Bußgeldsanktionsmittel).

Mit bis zu 250 TEUR kann jeder Einzelverstoß gegen das in der Abgabenordnung verankerte Recht der Außenprüfung auf Datenzugriff geahndet werden. Mit dieser Geldbuße können beispielsweise Fälle einer unzulässigen Auslandsverlagerung der elektronischen Buchhaltung sanktioniert werden. Damit, dass der Steuergesetzgeber dem Steuerpflichtigen unter bestimmten Voraussetzungen das Recht einräumt, elektronische Bücher in einem anderen Mitgliedstaat der EU zu führen und zu verwahren, trägt er einerseits dem unternehmerischen Bedürfnis der Arbeitsteiligkeit in internationalen Konzernen Rechnung, verbindet dies andererseits jedoch für den Fall der Unzulässigkeit mit einer scharfen Sanktion, unabhängig davon, ob es sich um einen In- oder Auslandssachverhalt handelt.


c) Strafrecht

Die Verletzung von IT-Sicherheitspflichten kann aber auch strafrechtliche Folgen haben, die über den Personendatenschutz, die Besteuerung und den Schutz von geschäftskritischen Daten noch hinausgehen. Wenn beispielsweise der Verlust oder die Unauffindbarkeit von Finanzdaten eine vollständige Übersicht über die Vermögensverhältnisse des Unternehmens erschwert, ist eine Haftung des Unternehmens und seiner Organe nicht ausgeschlossen.

Ebenso kann dies der Fall sein bei der Gefährdung von Geschäftsgeheimnissen. So hat der Bundesgerichtshof die Haftung von Vorstand und Compliance-Officer erweitert in Bezug auf eine sog. "Garantenpflicht", die zum Inhalt hat, im Zusammenhang mit der Tätigkeit des Unternehmens stehende Rechtsverletzungen von Unternehmensangehörigen durch geeignete unternehmensinternen Prozesse aufzudecken und zu verhindern. Neben dem Compliance-Beauftragten gilt dies grundsätzlich auch für andere Sonderbeauftragte in deren jeweiligen Pflichtenkreisen - wie etwa für den IT-Sicherheitsbeauftragten und gegebenenfalls auch den Datenschutzbeauftragten. Der Bundesgerichtshof sieht die Sicherheit der Kommunikation als Compliance-relevante Verpflichtung an und hat ferner entschieden, dass Geschäftsinterna wegen der etwaigen Vorwerfbarkeit eines strafbaren Geheimnisverrats nicht ungesichert via E-Mail zur Verfügung gestellt werden dürfen.

3. Datensicherheit im Desasterfall
Der Schutz und die Sicherheit personenbezogener, steuerrelevanter oder sonst betriebskritischer Daten (wie insbesondere Daten des geistigen Eigentums) werden durch verschiedene nationale und internationale Regelwerke geschützt. In Deutschland finden sich derlei Regelungen verteilt über diverse Spezialgesetze, aber auch an zentraler Stelle im Bundesdatenschutzgesetz (BDSG): Gemäß § 9 BDSG sind alle Stellen, die personenbezogene Daten verarbeiten, erheben oder nutzen verpflichtet, technische und/oder organisatorische Maßnahmen zu treffen um zu gewährleisten, dass die Sicherheits- und Schutzanforderungen des BDSG erfüllt sind. Die Spezifizierung dieser Anforderungen ergibt sich aus der Anlage zu § 9 (den sog. "8 Geboten der Datensicherheit"). Dort ist unter dem Punkt "Verfügbarkeitskontrolle" geregelt: "Es muss sichergestellt werden, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt werden." Als Maßnahme dafür ist u.a. das Vorhandensein eines Desaster- bzw. Backup-Konzepts ("Disaster Recovery"/DR) vorgesehen um sicherzustellen, dass Daten nicht verloren gehen, selbst wenn sie versehentlich gelöscht oder zerstört werden. Auch die Rechtsprechung unterstreicht, dass eine zuverlässige IT-Sicherheit in Bezug auf Unternehmensdaten zu den Selbstverständlichkeiten im Zeitalter digitaler Datenverarbeitungen gehört.

4. Gewährleistung von Verfügbarkeit
Zwingender Bestandteil des demnach gebotenen IT-Risikomanagements (dazu unten VI) ist daher zugleich die jederzeitige Gewährleistung eines effizienten Kontinuitätsmanagements ("Business Continuity"/BC), das - abgestuft nach der Unternehmensrelevanz der jeweiligen Daten - die Szenarien eines Desasters abbilden muss. Schlüsselsysteme wie das ERP beispielsweise sollten umgehend mit aktuellen Daten, die die Produktivsetzung ohne wesentlichen Zeitversatz erlauben, geladen werden können. Nur die nicht zeitkritischen Daten, die beispielsweise für externe oder interne Audits oder für ein Gerichtsverfahren als beweisrelevante Dokumente benötigt werden, sollten innerhalb von einer bis maximal zwei Wochen verfügbar sein.

Das Vorhandensein eines geeigneten, zeitgemäßen Notfallplans wird folgerichtig ebenfalls als organisatorische Selbstverständlichkeit der "Corporate Governance" vorausgesetzt. Dieser ist in regelmäßigen Abständen durch geeignete "scharfe" Tests auf seine Belastbarkeit zu überprüfen. Auch in den Maßnahmenkatalogen zu den spezielleren Regelungen des BDSG zur Verfügbarkeitskontrolle (s.o.) sind ein zeitgemäßes DR/BC-Konzept und die Dokumentation der regelmäßigen Überprüfung auf Schlüssigkeit, Angemessenheit und Funktionalität unverzichtbar.

Über zeitgemäße Backup- und Continuity-Systeme, deren Funktionalität durch regelmäßige Überprüfungen zu gewährleisten und gegebenenfalls an veränderte Bedrohungsszenarien anzupassen ist, ist gegen Verluste oder Kompromittierungen von Daten Vorsorge zu treffen. Solche Systeme müssen gleichzeitig aber auch den Bedürfnissen des Datenschutzes gerecht werden. Die Aufgabe des Managements ist es mithin, technisch-organisatorisch und rechtlich durch effiziente Maßnahmen der IT-Sicherheit, insbesondere durch DR/BC-Strategien, "beweissichere" Archivierung und flankierende IT-Richtlinien den Schutz unternehmenskritischer und personenbezogener Daten gegen Verlust, Störung der Verfügbarkeit oder ungewollte Offenlegung zu gewährleisten.

Die wichtigsten Vorschriften und Richtlinien für die Aufbewahrung und Sicherung bestimmter Kategorien von Daten - und damit zugleich die rechtlichen Grundlagen für eine revisionssichere Archivierung - sind geregelt im Bundesdatenschutzgesetz (Anlage 1 zu § 9 BDSG, Handelsgesetzbuch (§§ 257, 239 Abs. 4 HGB) und Abgabenordnung (§§ 146 Abs. 5, 147 AO) in Verbindung mit den Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD von 2014), die von allen Buchungspflichtigen zu beachten sind. Da für andere Rechtsgebiete keine vergleichbaren, branchenspezifischen Vorschriften bestehen, ist den handels- und steuerrechtlichen Anforderungen gleichsam eine Vorbildfunktion immanent für die interdisziplinär zu bestimmenden Aufbewahrungskriterien der Sicherheit, Vertraulichkeit, Integrität, jederzeitige Auffindbarkeit und Verfügbarkeit.
Quelle und gesamter Beitrag: Whitepaper für ZERTO (PDF)


Security-Finder Schweiz: Newsletter